Изготовление сайтов в Донецке, ДНР. Как работает история DNS?

Возможно, вы несколько раз слышали, что система доменных имен (DNS) — это телефонная книга Интернета, поскольку она указывает нам на виртуальный адрес веб-сайта. А как насчет истории DNS? В конце концов, нет такой вещи, как телефонная книга, в которой хранятся прошлые телефонные номера и адреса человека.

Чтобы понять, как работает история DNS, мы должны начать с основ и узнать, что такое DNS.

Что такое DNS?

DNS — это децентрализованная и организованная система именования для устройств, подключенных к любой сети, включая Интернет. Его основная функция заключается в переводе доменных имен в их числовые эквиваленты, единственный язык, понятный компьютерам (т. е. адреса Интернет-протокола [IP]).

DNS обеспечивает доступ ко всем доменным именам, преобразуя их в IP-адреса. Неважно, вводите ли вы самый посещаемый веб-сайт или только что созданный в своем браузере, ваш компьютер отправит DNS-запрос на DNS-сервер и получит IP-адресвеб-сайта.

Ограничения данных DNS

DNS был создан на заре Интернета, когда его глобальное использование было еще невообразимым. Он имеет дело только с текущими и активными соединениями и не обращает внимания на то, на какие IP-адреса доменное имя было разрешено в прошлом.

Но когда Интернет взорвался и стал неотъемлемой частью домашнего хозяйства, киберпреступность также стала безудержной. По этой причине эксперты сочли необходимым заглянуть в историю DNS, и родилась пассивная технология DNS.

Что такое история DNS и как она работает?

История DNS относится к данным, полученным из пассивной базы данных DNS, где хранятся прошлые разрешения. Другие исторические записи DNS, такие как серверы обмена почтой (MX) и серверы имен (NS), также можно найти в базе данных.

Среди идей, которые мы можем получить из истории DNS:

Изменения в разрешениях IP-адресов домена

Прошлые NS, используемые доменом

MX серверы домена, который использовался в прошлом

С помощью таких инструментов, как обратный поиск IP-адресов, которые собирают данные из пассивной базы данных DNS, вы также можете увидеть доменные имена, которые когда-то разрешались или все еще разрешаются в IP-адрес.

Для наглядности давайте найдем домены, которые разрешаются в 128[. ]199[. ]42[. ]106. Обратите внимание, что об этом IP-адресе сообщалось в AbuseIPDB более тысячи раз для атак методом грубой силы. Инструмент обратного поиска IP вернул эти три домена, которые разрешались в IP-адрес:

teamspeeder[. ]com

тимспидер[. ]dk

канеки [. ] меня

Другие IP-адреса могут быть связаны с сотнями доменов и поддоменов, таких как 8[. ]8[. ]8[. ]8 Google, который возвращает тысячи доменных имен.

Как используется история DNS?

База данных пассивных DNS, в которой хранятся исторические данные DNS, возникла из-за необходимости устранения некоторых ограничений DNS. Таким образом, история DNS используется для расследования киберинцидентов и помогает наметить следы вредоносного домена.

Например, у нас есть два IP-адреса, помеченные в рекламной кампании Fobos — 216[. ]58[. ]206[. ]78 и 188[. ]225[. ]27[. ]122. История DNS показывает, что эти доменные имена разрешились в IP-адреса:

l4755b19[. ]только что установленная панель[. ]com

рбт-м[. ]ru

lhr35s11-in-f14[. ]1e100[. ]net

mil07s08-in-f14[. ]1e100[. ]net

Различные поддомены justinstalledpanel[. ]com были замечены в нескольких кампаниях по вредоносным программам, что может указывать на то, что за некоторыми из них может стоять одна и та же группа злоумышленников. На самом домене сообщается о фишинге, рассылке спама и других вредоносных действиях на VirusTotal.

Вывод

DNS — неотъемлемая часть работы Интернета, поэтому возможность копаться в истории DNS сделала Интернет более прозрачным. Несмотря на то, что это относительно новая возможность, пассивный DNS позволяет группам кибербезопасности бороться с вредоносными действиями. Кроме того, исторические записи DNS также могут помочь организациям восстановить данные зоны в случае их случайного или злонамеренного изменения.